GTM-MML4VXJ
Skip to main content

攻撃者のプロファイリングも重要な時代に

ウクライナを筆頭に世界各地で6月27日(現地時間)にランサムウェアによる攻撃が発生し、大規模な被害が発生しました。今回観測されたランサムウェアは「Petya(ペトヤ)」と呼ばれる2016年に発見されたマルウェアの亜種とみられており、「NotPetya」や「GoldenEye」などの名前が付けられています。

世界規模のランサムウェア攻撃は、5月の「WannaCry」から続いて発生しています。今回のPetyaの亜種も、WannaCryと同様に米国のNSA(国家安全保障局)から流出した攻撃ツール「EternalBlue」によってMicrosoft製品の脆弱性(MS17-010)を突くことでネットワーク経由で他のコンピュータに感染を拡散させる機能以外に、TCPポート139番、445番が空いているWindows機に対するリモートからのコマンド実行も行うという高度なワームとしての機能も持っています。

本ランサムウェアは、他のランサムウェアとは異なり、コンピュータ上のファイルを暗号化するだけではなく、 起動時に参照されるHDDのMBR(Master Boot Record)も暗号化して起動不能にした上で身代金要求のメッセージを表示させるため、感染したコンピュータを復旧させることは非常に困難です。さらに、脅迫メッセージ画面に表示されるインストールIDは単なるランダムなデータであり、身代金をまじめに回収する気がないのではないかとの指摘も存在します。その為、身代金が目的の「ランサムウェア」ではなく、攻撃対象のシステム破壊することが目的の「ワイパー」であるとの見方も出てきています。

また、6月中旬のホンダ狭山工場での大規模なWannaCry感染発生が、マスコミでも報道されました。ただ、記事の中で、「脅迫画面は出なかった」とされています。

富士通のマルウェア解析も行うA3L(エーキューブラボ)で、同様のWannaCryを解析した結果、WannaCryの初期バージョンとは異なる亜種であり、確実に感染機能が動作するように改造される一方で、ランサムウェアとしての機能が明らかに欠損している(ランサムウェアとして動作するファイルが不足している)バージョンであることが分かっています。その為、ランサムウェアとしては実行に失敗し、マシン内のファイルが暗号化されたり、脅迫画面が出ることはありませんでした。こうしたことから、この攻撃者は、『マルウェアの感染活動により企業の運営に影響を確実に与えたいが、金銭を脅迫する意図は無い』というモチベーションを持っていたと考えられます。

このように、現在は攻撃者の狙いが分かりにくくなっており、これからは攻撃者の真の狙いを知る為の、「攻撃者のプロファイリング」が重要になってくると考えています。

参考

【関連リンク】

お問い合わせはこちら

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)